GoldenLine
Zaloguj się

konto usunięte

Temat: Slowloris HTTP DoS

Jakie macie metody obrony przed Slowloris HTTP DoS?Kamil Porembiński edytował(a) ten post dnia 27.07.09 o godzinie 19:49
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Slowloris HTTP DoS

http://haproxy.1wt.eu/

jest tam config jak użyć haproxy do walki z tym.
Albo po prostu nie używać apacha ;] ale tu nie wszyscy mają wybór.
Link do wypowiedziLink

konto usunięte

Temat: Slowloris HTTP DoS

A jakieś sprytne regułki dla iptables ograniczające ilość połączeń z danego IP?
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Slowloris HTTP DoS

man iptables ? ;p




   connlimit

       Allows you to restrict the number of parallel connections to  a  server

       per client IP address (or client address block).



       [!] --connlimit-above n

              Match if the number of existing connections is (not) above n.



       --connlimit-mask prefix_length

              Group  hosts  using  the prefix length. For IPv4, this must be a

              number between (including) 0 and 32. For  IPv6,  between  0  and

              128.

Trochę to pomoże ale na cuda bym nie liczył. Jak dasz za mało to np. firmy czy siecie osiedlowe mogą mieć problem (bo po prostu limit wyczerpią), jak za dużo nie zadziala
Link do wypowiedziLink

konto usunięte

Temat: Slowloris HTTP DoS

Dokładnie. Mam to. Myślałem, że macie jakieś inne automagiczne zabezpieczenie ;-)
Link do wypowiedziLink
Maciej Natan Milaszewski

Maciej Natan Milaszewski Kierownik dzialu IT
/ sys administrator

Temat: Slowloris HTTP DoS

Mariusz Gronczewski:
http://haproxy.1wt.eu/

jest tam config jak użyć haproxy do walki z tym.
Albo po prostu nie używać apacha ;] ale tu nie wszyscy mają wybór.
ja mam us iebie lvsa i okolo 10 nodow i ci powiem ze bardzo ladnie dziala slowloris.pl

a ha proxy w moim wypadku odpada.... ewentualnie mod_qos itp co do iptabelkow to mozna tez pomyslec ale co w przypadku jak poleci z parunastu innych maszyn slowloris

swoja droga testowalem na ngnxie i nie robilo wiekszej szkodymaciej natan milaszewski edytował(a) ten post dnia 06.08.09 o godzinie 14:57
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Slowloris HTTP DoS

Tak samo jak na lighttpd, generalnie atak jest mało szkodliwy na każdym serwerze który nie spawnuje porcesu/wątku na każde żądanie.

Chociaż wg. mnie ktoś niedługo zrobi/już zrobił slowloris 2.0 który będzie działał jak normalny klient http, tylko odbierał z prędkością 1bajt/sek/połączenie ;]
Link do wypowiedziLink
Maciej Natan Milaszewski

Maciej Natan Milaszewski Kierownik dzialu IT
/ sys administrator

Temat: Slowloris HTTP DoS

zeby bylo smieszniej na maszynach testowych odpalilem slowlorisa i takze apache sie wytrybil, zeby bylo jeszcze smieszniej na nim mam grsecurity ktore dokancza dziela zniszczenia jak atakujacy przerwie slowlorisa to apache ladnie zostaje ubity.....
zainstalowalem mod_qosa ale cos te restrykcje nie dzialaja tak jak powinny i ewefkt taki sam.

macie jakies sensowne reg dla mod_qosa ?
Link do wypowiedziLink

konto usunięte

Temat: Slowloris HTTP DoS

perlbal - http://www.danga.com/perlbal/

<spam>
Gdyby ktoś miał za dużo czasu, może przejrzeć mój skromny papier na ten temat - http://tordo.net/~mduda/0/pub/slowloris_http_dos/Slowl...
</spam>Maciej Duda edytował(a) ten post dnia 06.08.09 o godzinie 20:21
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Slowloris HTTP DoS

Co do papieru, mam mpm_event i nie pomaga wcale, masz jakiś specyficzny config do tego ?

I przetestuj haproxy - jest nieziemsko szybkie (proxowanie 500-700 połączeń/sek na AMD Geode 500 MHz) i radzi sobie ze slowloris.
Link do wypowiedziLink

konto usunięte

Temat: Slowloris HTTP DoS

Dokument był opublikowany na krótko po premierze w celu poinformowania znajomych o problemie. Zebrałem wszystkie możliwe informacje i _wszystkie_ umieściłem w papierze. Niestety nie mam żadnego confa do mpm_event ale mogę zagwarantować, ze perlbal (pewnie ta sama technologia co haproxy) skutecznie chroni przed atakiem.
Niewykluczone, że Apache opublikowało już tą zapowiadaną łatę.

Papier nie wymagał uaktualnienia, bo perlbal rozwiązywał problem, ale popytam i jak będę coś miał, poinformuję Was w tym wątku.

Pozdr,
Dud
Link do wypowiedziLink
Maciej Natan Milaszewski

Maciej Natan Milaszewski Kierownik dzialu IT
/ sys administrator

Temat: Slowloris HTTP DoS

No narazie mam dorazne rozwiazanie na iptablesach i tne do 40 od klienta

ani mod_qos ani mpm_event i nie dziala
no ewentualnie jak macie jakies automagiczne opcje

haproxy u mnie odpada tak samo jak lighttp i ngnx

a i dla kolegi odnosnie wpisow iptables:
iptables -I INPUT -p tcp --dport 80 --syn -m connlimit
--connlimit-above 20 -j REJECT
i dla innych portow analogicznie tez

jeszcze myslalem zeby wpiac jakos squida w to ale mysle ze operacja bedzie zbyt kosztowna... i nie wem czy zadziala

bo squida bym musial wstawic na LD i tym samym on by robil za ala balancera
bo bez sensem jest wstawiac na kazdym nodzie z przodu squida....

mam nadzieje ze apache sie pospieszy z latkami

a wlasnie macie jakies ciekawe wpisy dla mod_qos w apache ?maciej natan milaszewski edytował(a) ten post dnia 07.08.09 o godzinie 10:12
Link do wypowiedziLink

konto usunięte

Temat: Slowloris HTTP DoS

Mariusz Gronczewski:
Chociaż wg. mnie ktoś niedługo zrobi/już zrobił slowloris 2.0 który będzie działał jak normalny klient http, tylko odbierał z prędkością 1bajt/sek/połączenie ;]

wget --limit-rate? :>
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Slowloris HTTP DoS

niee za duzo porcesow trzeba forknac ;] mam plan zrobic "glue & tape" przy uzyciu lighttpd + limit + ab ;]
Link do wypowiedziLink
Maciej Natan Milaszewski

Maciej Natan Milaszewski Kierownik dzialu IT
/ sys administrator

Temat: Slowloris HTTP DoS

Dobra wyklikalem mod_qos i teraz dziala tak jak powinno byc

<IfModule mod_qos.c>
QS_ClientEntries 1000
QS_SrvMaxConnPerIP 20
MaxClients 20
QS_SrvMaxConnClose 150
QS_SrvMinDataRate 150 1200
LimitRequestFields 30
QS_LimitRequestBody 102400
</IfModule>

jest jeszcze za pomoca moda:
wget http://ftp.monshouwer.eu/pub/linux/mod_antiloris/mod_a...
tar -xvf mod_antiloris-0.3.tar.bz2
cd mod_antiloris-0.3/

apxs2 -a -i -c mod_antiloris.c

cp .libs/mod_antiloris.so /usr/lib/apache2/modules/mod_antiloris.so
echo "LoadModule antiloris_module /usr/lib/apache2/modules/mod_antiloris.so" | tee > /etc/apache2/mods-available/antiloris.load

a2enmod antiloris
/etc/init.d/apache2 restart
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Slowloris HTTP DoS

Jedyny problem jaki widze to to że przeglądarki potrafią otwierać po parę połączeń do serwera i możesz skonczyć na tym że zacznie odcinać klientów korzystających z NATa

Rozwiązania z proxy (jakimkolwiek odpornym na slowloris) mają tą zaletę że może iść więcej połączeń a te "slowlorisowane" będą sobie po prostu leżeć
Link do wypowiedziLink
Paweł Najdek

Paweł Najdek mr. Najdmen w IONIC
SP. Z O.O. SP.K.

Temat: Slowloris HTTP DoS

mod_limitipconn + iptables + limit połączeń per IP na virtualhostach pomaga.

Jest wersja lighta któ¶a też jest podatna na slow ...Paweł Najdek edytował(a) ten post dnia 08.08.09 o godzinie 13:05
Link do wypowiedziLink

konto usunięte

Temat: Slowloris HTTP DoS

Przemysław S.:
Mariusz Gronczewski:
Chociaż wg. mnie ktoś niedługo zrobi/już zrobił slowloris 2.0 który będzie działał jak normalny klient http, tylko odbierał z prędkością 1bajt/sek/połączenie ;]

wget --limit-rate? :>

Parametr ten ma ograniczenia:

"Należy zauważyć, że Wget realizuje to w ten sposób, że po stwierdzeniu, iż odczyt z sieci zabrał mniej czasu, niż wynika to z podanej prędkości, przez odpowiedni czas wstrzymuje się od działania (zasypia). Końcowym efektem takiej strategii jest spowolnienie transferu TCP mniej więcej do podanej prędkości. Niemniej jednak, na osiągnięcie tej równowagi potrzeba trochę czasu, więc nie bądźcie zaskoczeni, jeśli ograniczenie szybkości nie działa dla bardzo małych plików. Tak samo, strategia “zasypiania” nie zda egzaminu, jeśli poda się zbyt małe pasmo, dajmy na to mniejsze niż 1,5KB/s."
Link do wypowiedziLink

konto usunięte

Temat: Slowloris HTTP DoS

Zrobiłem mały test:
for i in `seq 1 10`; do

	wget --limit-rate=1 -b http://localhost/

done

I wynik jest pozytywnie zaskakujący ;-)
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Slowloris HTTP DoS

Sądzę że żeby to miało sens to trzebaby było napisać coś ala slowloris pod, to, bawiłem się różnymi programami próbując to "sklecić" ale było za wolne ;]. Chociaż nawet w takim wypadku podejrzewam że serwery o budowie takiej jak nginx czy lighttpd beda radzic sobie z tym calkiem przyzwoicie.
A;e faktem jest że przy użyciu w miare niewielkiej "armii" można zapchać serwer ;]
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

HTTP DoS




Wyślij zaproszenie do
Anuluj